2021 könnte das Jahr des Datenlecks werden. Zu diesem Ergebnis sind die Experten von Ping Identity gekommen. Hauptgrund dafür ist, dass eine große Menge vertraulicher Unternehmensdaten sich aufgrund des Corona-bedingten Remote Working Booms außerhalb der Firmeninfrastrukturen befinden - und dadurch im schlimmsten Fall ein All you can Eat-Buffet für Cyberkriminelle darstellen.
Doch es gibt noch weitere Risiken, die das kommende Jahr aus Identitätssicht prägen werden.
Unwissenheit schützt vor Datenklau nicht
Pascal Jacober, Regional Sales Director EMEA Central bei Ping Identity, berichtet: „Auch in großen international agierenden Banken müssen sich die Mitarbeiter nun zum ersten Mal überhaupt mit Themen wie Phishing, sicheren Netzwerken und ähnlichem auseinandersetzen. Denn bis zum Beginn der Corona-Pandemie haben sie nie von zuhause aus gearbeitet.“
„Und so wie ihnen geht es aktuell Abermillionen von Menschen auf der ganzen Welt. Es stellt sich also die Frage, wie man bei Personen, die sich nie mit solchen Themen auseinandersetzen mussten, auf die Schnelle ein Bewusstsein dafür schafft. Wie kann man ihnen die Gefahren aufzeigen, wenn sie sich nie diesen Bedrohungen stellen mussten?“
„Man kann nicht schützen, was man nicht kennt“
Dieses Zitat des Ping-CEOs Andre Durand wird 2021 besonders wichtig, denn Sicherheitsverantwortliche in Unternehmen stehen genau vor dieser Herausforderung: Sie müssen schützen, was sie nicht kennen. Denn mit Beginn der ganzen Lockdowns sind plötzlich Mitarbeiter außerhalb der Unternehmensinfrastruktur, die nie zuvor remote gearbeitet haben.
Das bedeutet, dass nicht nur Authentifizierung an Wichtigkeit gewinnt, sondern vor allem Identifizierung. Denn Credentials sind schnell gestohlen, aber mittels eindeutiger Identifizierung – beispielsweise mit Hilfe von Multifaktor-Authentifizierung über biometrische Merkmale – lässt sich das entsprechend absichern.
Das heißt im Umkehrschluss aber auch, dass Identität, sofern sie nicht entsprechend abgesichert ist, der klare Schwachpunkt innerhalb einer Cyber-Sicherheitsinfrastruktur ist – besonders, wenn die Zahl der Identitätsdiebstähle weiter so schnell steigt, wie sie es aktuell tut.
Richard Bird, Chief Customer Information Officer bei Ping Identity, erklärt: „Wir werden im kommenden Jahr eine Welt sehen, in der Unternehmen und Großkonzerne nicht mehr länger Aktoren sind, wenn es darum geht, Identitäten zu definieren. Gerade veraltete Compliance-Richtlinien können hier schnell im Weg stehen, wenn es darum geht, die positiven Effekte eines modernen Identity-Konzepts auszuschöpfen.“
Kampf im Schatten
Ein Aspekt, der eigentlich schon als abgehakt galt, ist in den letzten Monaten wieder stark aufgeflammt und wird uns wohl auch noch im kommenden Jahr beschäftigen: Shadow-IT. 2020 gab es eine wahre Explosion bei der Nutzung unreglementierter IT-Lösungen im Unternehmensumfeld. Gerade Führungskräfte, die sich im Arbeitsalltag kaum mit IT und entsprechenden Gefahren auseinandersetzen, sind dabei besonders anfällig.
Denn für sie zählt oftmals nur, ihre Aufgaben zu erledigen - egal wie. Dementsprechend werden wir hier 2021 auch besonders viele Datenlecks sehen, denn unternehmenskritische Daten wandern in nicht ausreichend abgesicherte, nicht Compliance-konforme, Cloud-Speicher. Cyberkriminelle sind sich dessen bewusst und zielen bei ihren Angriffen genau darauf ab.
Ein weiteres Risiko, das wir 2021 auf keinen Fall unterschätzen dürfen, ist das Bedürfnis nach Information der Menschen. „Wir wissen, dass Cyberkriminelle schon in diesem Jahr gefälschte COVID-Tracking-Websites genutzt haben, um mit ihrer Hilfe Phishing zu betreiben und Ransomware zu verteilen“, so Bird weiter.
„Sie profitieren also von dem Bedürfnis der Leute nach Informationen. Denn gerade in Zeiten von Lockdowns und Ausgangsbeschränkungen wollen die natürlich wissen, was draußen los ist. Und wenn die dann von ihren Arbeitsgeräten auf entsprechende Websites zugreifen, hat man ruckzuck ein Datenleck – oder Schlimmeres.“
Böse Menschen lieben schlechte Zeiten
Generell blickt Richard Bird tatsächlich nur verhalten optimistisch in die Zukunft: „Kein Unternehmen weltweit hatte einen Disaster-Recovery- oder Business-Continuity-Plan, der wirklich umfassend auf die aktuelle Situation vorbereitet war. Und weil genau diese Pläne nicht existierten, entstanden die bekannten Schwachstellen.“
Nach Ansicht der Experten von Ping Identity müssen gerade Unternehmen aus den Lektionen der vergangenen neun Monate lernen – und nach ihnen handeln. Dann können sie auch die kommenden Herausforderungen meistern.